Политика в отношении обработки персональных данных

Подробности

Опубликовано: 30.10.2024 15:20

Просмотров: 28

Политика

администрации Парковского сельского поселения Тихорецкого района в отношении обработки персональных данных

1. Общие положения

1.1. Политика администрации Парковского сельского поселения Тихорецкого района в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

 предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

оператор персональных данных (оператор) – администрация Парковского сельского поселения Тихорецкого района, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые оператором способы обработки персональных данных;

наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных);

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;

иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.

1.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.7. Оператор персональных данных вправе:

 отстаивать свои интересы в суде;

предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством;

отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

1.8. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных.

1.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных полномочий оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).

2.3. К целям обработки персональных данных оператора относятся:

1) организация учета сотрудников Оператора для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Учредительными документами и нормативными актами Оператора;

2) осуществление муниципальных функций;

3) исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

4)предоставление муниципальных услуг;

5)исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;

6)заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами;

7)рассмотрение обращений граждан;

8)осуществление первичного воинского учета;

9)исполнение полномочий, установленных Федеральном законом                           от 6 октября 2003 года № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Уставом Парковского сельского поселения Тихорецкого района, федеральными законами, законами Краснодарского края в части исполнения полномочий, не урегулированных Федеральном законом от 6 октября 2003 года № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации».

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных являются:

совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, (федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора);

уставные документы оператора;

договоры, заключаемые между оператором и субъектом персональных данных;

согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Обработка персональных данных осуществляется в следующих случаях:

4.2.1.цель, установленная подпунктом 1) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) уволенные (уволившиеся) муниципальные служащие и их ближайшие родственники, руководители муниципальных учреждений, подведомственных администрации Парковского сельского поселения Тихорецкого района (далее-подведомственные учреждения):

фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), учёная степень, учёное звание (когда присвоены, номера дипломов, аттестатов), прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения, фотография в бумажном виде, государственные награды, иные награды и знаки отличия (кем награждён и когда), сведения о последнем месте государственной или муниципальной службы, допуск к государственной тайне, оформленный за период работы, службы, учёбы (форма, номер и дата), классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены), владение иностранными языками и языками народов Российской Федерации, сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера членов семьи, наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или её прохождению, подтверждённого заключением медицинского учреждения, пребывание за границей (когда, где, с какой целью), результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.

Объем: менее чем 10 000 субъектов персональных данных

2) кандидаты на замещение вакантной должности, кандидаты на замещение должности муниципальной службы:

фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, гражданство, сведения о воинском учёте, семейное положение, состав семьи, степень родства, имущественное положение, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, прежние фамилия, имя, отчество, ученая степень, ученое звание, владение иностранными языками, фотография в бумажном виде.

Объем: менее чем 10 000 субъектов персональных данных.

3) муниципальные служащие, руководители подведомственных учреждений, лица, замещающие должности муниципальной службы, в том числе на непостоянной основе:

фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, сведения о воинском учёте, доходы, образование, профессия, информация о трудовой деятельности, трудоспособность, ИНН, СНИЛС, сведения о последнем месте государственной или муниципальной службы, наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу Российской Федерации или её прохождению, подтверждённого заключением медицинского учреждения, результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования, государственные награды, иные награды и знаки отличия (кем награждён и когда), владение иностранными языками и языками народов Российской Федерации, пребывание за границей (когда, где, с какой целью), классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены), послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), учёная степень, учёное звание (когда присвоены, номера дипломов, аттестатов), прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения), допуск к государственной тайне, оформленный за период работы, службы, учёбы (форма, номер и дата), сведения о доходах, имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов семьи, фотография в бумажном виде, гражданство, состав семьи, семейное положение, имущественное положение, степень родства.

Объем: менее чем 10 000 субъектов персональных данных

4) ближайшие родственники муниципальных служащих, руководителей подведомственных учреждений, лиц, замещающих должности муниципальной службы, в том числе на непостоянной основе:

фамилия, имя, отчество, год рождения, дата рождения, адрес, степень родства, информация о трудовой деятельности, сведения о доходах, расходах, об имуществе и обязательствах имущественного характера.

Объем: менее чем 10 000 субъектов персональных данных

4.2.2. Цель, установленная подпунктом 2) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) муниципальные служащие:

фамилия, имя, отчество, контактные сведения.

Объем: менее чем 10 000 субъектов персональных данных

2) граждане, обратившиеся за получением услуг:

фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, СНИЛС, паспортные данные.

Объем: менее чем 10 000 субъектов персональных данных

3) контрагенты:

фамилия, имя, отчество, контактные сведения, адрес, паспортные данные.

Объем: менее чем 10 000 субъектов персональных данных

4.2.3.Цель, установленная подпунктом 3) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) контрагенты:

фамилия, имя, отчество, адрес, контактные сведения, паспортные данные, ИНН, ОГРН, занимаемая должность, банковские реквизиты.

Объем: менее чем 10 000 субъектов персональных данных

4.2.4. Цель, установленная подпунктом 4) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) граждане, обратившиеся за получением услуг:

фамилия, имя, отчество, контактные сведения, год рождения, паспортные данные, дата рождения, место рождения, адрес.

Объем: менее чем 10 000 субъектов персональных данных

4.2.5. Цель, установленная подпунктом 5) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

1) муниципальные служащие, работники подведомственных учреждений:

фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, СНИЛС, ИНН, паспортные данные.

Объем: менее чем 10 000 субъектов персональных данных

4.2.6. Цель, установленная подпунктом 6) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

 муниципальные служащие, работники подведомственных учреждений:

фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, СНИЛС, ИНН, паспортные данные.

Объем: менее чем 10 000 субъектов персональных данных.

4.2.7. Цель, установленная подпунктом 7) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

 граждане, обратившиеся с обращениями, в том числе с коллективными:

фамилия, имя, отчество, адрес, контактные сведения.

Объем: менее чем 10 000 субъектов персональных данных.

4.2.8. Цель, установленная подпунктом 8) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

Граждане, подлежащие первичному воинскому учету в соответствии с действующим законодательством и их ближайшие родственники:

фамилия, имя, отчество, год рождения, дата рождения, место рождения, адрес, контактные сведения, паспортные данные, сведения о воинском учёте, образование, профессия, место работы.

Объем: менее чем 10 000 субъектов персональных данных.

4.2.9. Цель, установленная подпунктом 9) пункта 2.3 раздела 2 достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

граждане, обратившиеся по вопросам исполнения полномочий, установленных Федеральном законом от 6 октября 2003 года № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Уставом Парковского сельского поселения Тихорецкого района, федеральными законами, законами Краснодарского края в части исполнения полномочий, не урегулированных Федеральном законом от 6 октября 2003 года № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации».

фамилия, имя, отчество, адрес, контактные сведения.

Объем: менее чем 10 000 субъектов персональных данных.

5. Правила обработки персональных данных

Все персональные данные субъектов оператор получает на законной основе.

Персональные данные ближайших родственников сотрудников (служащих), необходимые для ведения кадрового учёта, оператор получает от самих сотрудников.

Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных.

Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку своей волей и в своём интересе.

Оператор оставляет за собой право не осуществлять свои функции в отношении субъекта персональных данных в случае предоставления неполных или недостоверных персональных данных, а также в случае отказа дать письменное согласие на обработку персональных данных.

При установлении договорных отношений с субъектом персональных данных получение письменного согласия на обработку его персональных данных не требуется.

Получение персональных данных субъекта у третьих лиц возможно только при предварительном уведомлении субъекта и с его письменного согласия.

Персональные данные субъектов оператора обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.

Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии со списком, утверждённым порядком, определяемом оператором.

Доступ к персональным данным, обрабатываемым в информационных системах персональных данных, осуществляется в соответствии со списком, утверждённым порядком, определяемом в Министерстве.

Уполномоченные лица, допущенные к персональным данным субъектов оператора, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностными инструкциями указанных лиц.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями "Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", утверждённого постановлением Правительства РФ от 15 сентября 2008 года № 687.

Персональные данные при такой их обработке должны обособляться от иной информации, в частности путём фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах. Места хранения определяются распоряжением оператора об утверждении мест хранения материальных носителей персональных данных Оператора.

Персональные данные подлежат уничтожению либо обезличиванию в случаях достижения целей или в случае утраты необходимости в достижении этих целей, отзыва согласия субъекта персональных данных, выявления неправомерной обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения, а также уведомляет субъекта о внесённых изменениях.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральным законом Российской Федерации.

Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных.

Уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

Уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Оператор уведомляет об этом субъекта или его законного представителя.

Уничтожение персональных данных на бумажных носителях осуществляет комиссия в составе руководителя и сотрудников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных, под контролем руководителя этого структурного подразделения.

Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:

1) сжигание;

2) шредирование (измельчение);

3) передача на специализированные полигоны (свалки);

4) химическая обработка.

При этом составляется Акт уничтожения документов Оператора, содержащих персональные данные субъекта.

При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия Администрации должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.

Уничтожение полей баз данных оператора, содержащих персональные данные субъекта, выполняется по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.

Уничтожение полей баз данных оператора, содержащих персональные данные субъекта, осуществляет комиссия, в состав которой входят лица, ответственные за администрирование автоматизированных систем, которым принадлежат базы данных, сотрудники структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.

Уничтожение полей баз данных Оператора, содержащих персональные данные субъекта, достигается путём затирания информации на носителях информации (в том числе и резервных копиях) или путём механического нарушения целостности носителя информации, не позволяющего произвести считывание или восстановление персональных данных. При этом составляется Акт уничтожения полей баз данных оператора, содержащих персональные данные субъекта.

Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определённого срока предусмотрены соответствующими нормативными и (или) договорными документами.

При невозможности осуществления затирания информации на носителях допускается проведение обезличивания путём перезаписи полей баз данных, которые позволяют определить субъекта, данными, исключающими дальнейшее определение субъекта.

Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных у оператора.

Обработка биометрических персональных данных (фотография), в соответствии со статьёй 11 Федерального закона № 152, допускается при наличии согласия субъекта. Форма согласия утверждается распоряжением оператора.

Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.

Сотрудники (служащие) оператора должны быть ознакомлены под роспись с требованиями законодательства Российской Федерации, касающимися обработки персональных данных, настоящими Правилами и другими документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности в этой области.

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных.

5. Передача персональных данных третьим лицам

При обработке персональных данных субъекта должны соблюдаться следующие требования:

1) не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащими персональные данные субъекта, при условии соблюдения требований статьи 9 Федерального закона N 152;

2) предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.

При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, Министерство запрашивает согласие субъекта в письменной форме.

6. Права субъектов персональных данных

В целях обеспечения своих интересов субъекты имеют право:

1) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом;

3) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона № 152-ФЗ. Субъект персональных данных, при отказе Администрации исключить или исправить персональные данные субъекта, имеет право заявлять в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;

4) требовать от оператора уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведённых в них изменениях или исключениях из них;

5) обжаловать в суде любые неправомерные действия или бездействие оператора при обработке и защите персональных данных субъекта.

7. Порядок действий в случае запросов надзорных органов

В соответствии с частью 4 статьи 20 Федерального закона N 152 оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.

Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных у оператора при необходимости с привлечением сотрудников оператора.

В течение установленного законодательством срока ответственный за организацию обработки персональных данных у оператора подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.

8. Защита персональных данных субъекта

Защиту персональных данных субъектов от неправомерного их использования или утраты оператор обеспечивает за счёт собственных средств в порядке, установленном законодательством Российской Федерации.

При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.

Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:

1) РД ФСТЭК России - "Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденному приказом ФСТЭК России от 18 февраля 2013 г. N 21;

2) специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 г. N 282;

3) внутренними документами оператора, действующими в сфере обеспечения информационной безопасности.

Защита персональных данных предусматривает ограничение к ним доступа.

Ответственные за организацию обработки персональных данных, администрирование средств и механизмов защиты, техническое обслуживание информационных систем персональных данных назначаются распоряжением оператора.

Руководитель структурного подразделения оператора, осуществляющего обработку персональных данных:

1) несёт ответственность за организацию защиты персональных данных в структурном подразделении;

2) организует изучение уполномоченными сотрудниками нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;

3) обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении (отделе);

4) контролирует порядок доступа к персональным данным в соответствии с функциональными обязанностями сотрудников подразделения.

Сотрудники (служащие), допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных.

9. Обязанности лиц, допущенных к обработке персональных данных

Лица, допущенные к работе с персональными данными, обязаны:

1) знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы оператора по защите персональных данных;

2) сохранять конфиденциальность персональных данных;

3) обеспечивать сохранность закреплённых за ними носителей персональных данных;

4) контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;

5) докладывать своему непосредственному руководителю структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности в соответствии с действующим законодательством Российской Федерации.